【資安週報】2023年4月24日到4月28日

在這一周的漏洞消息中，首要焦點是，ZDI警告TP-Link於3月中修補的CVE-2023-1389漏洞，已經被Mirai殭屍網路病毒的攻擊行動利用，在最新漏洞修補消息方面，包括思科、SolarWinds與VMware的修補動向值得關注。另外在51連假期間，還有兩個已知漏洞確認遭利用情形，本期週報尚未提及，值得優先注意，包括Apache的CVE-2021-45046，以及Oracle在1月修補的CVE-2023-21839漏洞。

在威脅態勢與攻擊焦點方面，中國駭客組織Evasive Panda散布後門程式MsgBot的攻擊活動揭露最受關注，因為是利用騰訊Tencent QQ即時通訊軟體的更新管道散布，而其鎖定對象是國際非政府組織（NGO）人士；另一焦點是中國駭客組織Alloy Taurus開發Linux後門程式PingPull的揭露。

其他惡意活動消息，包括：惡意軟體Lobshot、惡意軟體載入器Bumblebee均透過Google廣告散布的揭露，惡意軟體RustBucket、竊資軟體Atomic均針對Mac電腦攻擊的揭露，以及又有新針對Kubernetes而來的攻擊行動，勒索軟體RTM Locker的動向等。

在國內的資安相關消息中，調查局資通安全處失火的消息受外界關注，目前最新消息是排除外力介入，鑑識報告隔周出爐，還有兩起警方偵辦事件中所存在的資安議題，也引起不少人注意，分別是線上影視平臺LiTV今年1月發生資料遭刪除，警方調查研判是前員工利用商家Wi-Fi無線網路並盜用其他員工帳號進而存取防火牆設備以入侵，再對該公司部署於亞馬遜與Google雲端空間的營運資料進行破壞，另一事件本期週報尚未提及，是關於永豐金提告前財務長、永豐銀前總座張晉源涉嫌賤賣永豐金子行美國遠東銀行（FENB）的調查，根據國內報導指出，鑑識時發現張晉源在離職後將公司派發電腦中的資料清除，且不排除使用腐蝕性液體破壞可能。

【4月24日】美國、歐洲組織遭到惡意軟體EvilExtractor攻擊，駭客不只從瀏覽器Cookie竊密，還會加密檔案

駭客在惡意軟體整合不同領域的功能可說是越來越常見，例如，最近研究人員揭露惡意軟體EvilExtractor，攻擊者不只將它用於竊取受害電腦的資料，也將其用於加密檔案，並向受害者勒索。

網路電話系統製造商3CX傳出供應鏈攻擊的情況，日前傳出該公司遭駭的原因，是還有另一個軟體供應鏈攻擊引起，而且，研究人員表示還有其他組織受害。現在有另一家資安業者證實這樣的說法，並指出至少有4個關鍵基礎設施（CI）遭受相關攻擊。

【4月25日】PaperCut列印管理系統傳出漏洞被用於攻擊消息，但完成修補的系統只有1成

上週列印管理系統供應商PaperCut提出警告，該公司於1個月前修補的高風險漏洞出現攻擊行動，資安業者Huntress提出警告，根據他們的調查，大部分的PaperCut用戶仍在使用存在漏洞的軟體版本，呼籲IT人員儘速安裝更新程式。

針對Mac電腦而來的惡意程式攻擊也相當值得留意。近期名為RustBucket惡意程式攻擊行動就是其中1例，在此之前，勒索軟體駭客LockBit也開始針對這種電腦製作惡意軟體。

在前述的資安威脅之餘，時下熱門的大型語言模型（LLM），現在被用於強化惡意程式的檢測上，將可能減少誤判的現象。例如，惡意軟體分析平臺VirusTotal就宣布導入名為Code Insight的機制，希望能改善檢測的能力。

【4月26日】法務部調查局資通安全處失火，疑為電腦設備負載過大造成

專門負責資安的資通安全處竟發生火災，而引起外界關注。這起事故引發外界許多聯想，調查局均否認，原因仍有待他們公布。

大型軍火製造商遭到網路攻擊的情形也相當值得留意，例如，美國軍艦製造商Fincantieri Marinette Marine傳出遭到勒索軟體攻擊，而導致其資訊系統的運作受到衝擊。

駭客在攻擊行動濫用ChatGPT及其他人工智慧系統的情況，今年初陸續有資安業者提出警告，但現在有資安業者指出，2022年濫用相關系統進行網路釣魚的情況，就已經出現。

【4月27日】中國駭客組織透過騰訊即時通訊軟體散布後門程式MsgBot，鎖定NGO人士而來

中國駭客組織的攻擊行動不時傳出，最近有研究人員揭露駭客組織Evasive Panda針對非政府組織（NGO）人士而來的惡意程式攻擊行動，駭客藉由當地常見的即時通訊軟體QQ更新的名義來進行，但由於研究人員取得的證據不足，他們初步認為是供應鏈攻擊，但也不排除了對手中間人攻擊（AiTM）的可能。

駭客利用軟體廠商已推出更新程式的漏洞發動攻擊的事故，也相當值得留意，其中又以針對列印管理伺服器PaperCut而來的攻擊行動特別引起研究人員關注，自PaperCut提出警告後，現在有研究人員指出，相關漏洞已被用於勒索軟體攻擊。

因IT業者遭駭而波及其代管服務的用戶，這樣的情況很可能引起用戶恐慌。美國電信業者AT&T證實內部網路遭到入侵，導致駭客能冒用使用者的權限存取電子郵件信箱，不過，AT&T目前尚未公開說明受害範圍。

【4月28日】越南駭客透過臉書企業帳號，發布廣告散布惡意軟體SYS01 Stealer

挾持企業臉書帳號，以發布廣告的方式來散布惡意軟體的手法，陸續傳出相關事故，本週有研究人員揭露一支名為SYS01 Stealer的竊資軟體，也以這種型式散布，以此發動攻擊的人可能來自越南。

針對Mac電腦的惡意軟體今年也有越來越多的現象，例如，研究人員發現駭客兜售竊資軟體Atomic，就是鎖定這個平臺的系統，並主打能透過50種瀏覽器套件來盜取使用者的加密貨幣錢包。

導致公司損失慘重，甚至被迫關門的資安事故，並非僅限於勒索軟體，臺灣傳出有高權限的離職員工對於先前任職公司進行網路攻擊事件，受害公司表示，若遭破壞的資料無法復原，可能無法繼續營運。